WindowsServerのイベントログが再読み込みされてしまう
【質問事項】
WindowsServerが再起動するタイミングで意図せず
ログの読み込み位置がリセットされてしまう事は有り得ますでしょうか?
また、予防策は有りますでしょうか?
(zabbixエージェントのサービス起動を遅延起動にするとか?)
【経緯】
WindowsServerが再起動した直後のタイミングで
イベントログがZABBIXに再読み込みされてしまい、
大量の通知メールが発生してしまいました。
過去、同じサーバーで再起動したときや、
同一環境の他のサーバーの再起動の時には同じ現象は発生しませんでした。
つきまして、なにかタイミングによる現象だと考えているのですが...
尚、環境情報は下記となります。
■zabbxサーバ
zabbix-server 2.0.6
zabbix-proxy 2.0.6
(対象のサーバーはzabbixプロキシ経由で監視しています)
■監視対象サーバ
windows server 2008 R2 SP1
(zabbixエージェント: 1.8.15 Agent for Windows)
■監視設定内容
タイプ:zabbixエージェント(アクティブ)
キー:eventlog[System]
データ型:ログ
更新間隔(秒):600
ヒストリの保存期間(日):90
以上、よろしくお願い致します。
TNK - 投稿数: 4769
通常であれば、以前取得したイベントログのタイムスタンプをZabbix
サーバ側で管理していて、それ以降のイベントログしか取得しないよ
うになっているので、アイテムの変更を行わない限り、そのような事
象は発生しないはずです。
思いつきになってしまいますが、Zabbixサーバと監視対象のサーバの
時刻は合っていますか?
何らかの仕組みを利用して同期したりされていますか?
ts_red - 投稿数: 3
ご回答ありがとうございます。
Zabbixサーバと監視対象のサーバの設置拠点が異なる都合により、参照しているNTPサーバーが異なるため、
厳密に同期されてはいませんが、今回の現象が発生したのは半年弱の間で今回のたった1回発生したきりで、該当の監視対象のサーバと同じ環境にある他のサーバーで発生していない事から、問題ない範囲かと思っております。
(それぞれ、その拠点の持つNTPサーバーを参照して時刻同期しており、特殊な仕組みなどは使用してはいません)
また当現象が発生した時間帯にNTPの同期失敗のエラーなどは見つかりませんでした。
ts_red - 投稿数: 3
本件、自己解決したのでご連絡します。
zabbix-proxy側のDB(mysql)のitemsテーブルにある、lastlogsizeが更新できてなく、
いくらイベントログが更新されてもlastlogsizeの値が常に0でした。
(サーバー再起動だけでなく、エージェントのみを再起動するたびに再読み込みされました)
zabbix-proxyを2.0.10に上げてみたらlastlogsizeが更新されるようになり、
再起動のたびにイベントログを再読み込みする事は無くなりました。